Профтемы студенту и преподавателю
Taketop.ru
СТУДЕНТУ И ПРЕПОДАВАТЕЛЮ
лекции по дисциплинам
Автоматика и управление
Архитектура и строительство
БЖ, защита окружающей среды
Геодезия и землеустройство
Гуманитарные науки
Геология, полезные ископаемые
Естественные науки
Здравоохранение
Информатика и ВТ
Информационная безопасность
Культура и искусство
Лесные ресурсы
Металлургия, машиностроение
Морская техника
Образование и педагогика
Приборостроение и оптотехника
Сельское и рыбное хозяйство
Социальные науки
Сфера обслуживания
Технология продовол продуктов
Транспортные средства
Экономика и управление
Электро, радиотехника и связь
Энергетика, электротехника
Тесты
Информационная безопасность :: Защита компьютерной информации
Статьи > Информационная безопасность > Защита компьютерной информации
Оценка рисков
Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящие потенциальную угрозу в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер.
 
Когда намеченные меры приняты, необходимо проверить их действенность, например, произвести автономное и комплексное тестирование программно-технического механизма защиты. Если проверка показывает, что в результате проделанной работы остаточные риски снизились до приемлемого уровня, то можно намечать дату ближайшей переоценки, если нет – следует проанализировать допущенные ошибки и провести повторную оценку рисков.
 
При разработке методологии оценки риска используются методы системного анализа, в результате получаются оценки предельно допустимого и реального риска осуществления угроз в течение некоторого времени.
 
В идеале для каждой из угроз должно быть получено значение вероятности ее осуществления в течение некоторого времени. Это поможет соотнести оценку возможного ущерба с затратами на защиту. На практике для большинства угроз невозможно получить достоверные данные о вероятности реализации угрозы и приходится ограничиваться качественными оценками.
 
Оценка ущерба, который может нанести деятельности организации реализация угроз безопасности, производится с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации.
 
Расходы на систему защиты информации необходимо соотнести с ценностью защищаемой информации и других информационных ресурсов, которые подвергаются риску, а также с ущербом, который может быть нанесен организации в результате реализации угроз. По завершении анализа уточняются допустимые остаточные риски и расходы по мероприятиям, связанным с защитой информации.
 
По результатам проведенной работы составляется документ, содержащий:
• перечни угроз ЗИ, оценки рисков и рекомендации по снижению вероятности их возникновения;
• защитные меры, необходимые для нейтрализации угроз;
• анализ стоимость/эффективность, на основании которого делаются выводы о допустимых уровнях остаточного риска и целесообразности применения конкретных вариантов защиты.
 
Управление риском – процесс, состоящий в последовательном выполнении трех частей: определение риска в незащищенной ИС, применение средств защиты для сокращения риска и оценка остаточного риска.
Управление риском можно детализировать разбиением его на семь этапов.
 
Этапы управления риском (1):
1. Определение степени детализации, границ анализа и методологии.
2. Идентификация и оценка ценности ресурсов ИС.
Этапы управления риском (2):
3. Идентификация угроз и определение вероятности.
4. Измерение риска.
5. Выбор соответствующих мер и средств защиты.
Этапы управления риском (3):
6. Внедрение и тестирование средств защиты.
7. Одобрение остаточного риска.
 
Конечной целью управления риском является минимизация риска. Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в ИС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск недопустимо велик; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения, приемлем ли остаточный риск в ИС.
Работы, представленные на сайте http://taketop.ru, предназначено исключительно для ознакомления. Все права в отношении работ и/или содержимого работ, представленных на сайте http://taketop.ru, принадлежат их законным правообладателям. Администрация сайта не несет ответственности за возможный вред и/или убытки, возникшие или полученные в связи с использованием работ и/или содержимого работ, представленных на сайте http://taketop.ru
 Рейтинг@Mail.ru
Сайт управляется SiNG cms © 2010-2015